Sistema básico detectar invasoes em sua Vps Linux

[Suporte Derivados Tibia 2277]

Aqui está um exemplo de como criar um sistema de detecção de ataques para uma VPS Linux (Ubuntu 20+) utilizando ferramentas como fail2ban, ufw , syslog

Faça com muita atenção tópico muito delicado uma linha que você ler errado ou pular você terá que formatar sua máquina ok bora lá meus colegas devs titio gre vai ensinar vocês agora  utilizo esse mesmo sistema em minhas máquina porém ele e uma fase teste estou aperfeiçoando ainda estou deixando aqui aberto pra vocês assim vocês podem opinar e até mesmo melhorar partes que eu possar ter deixado meio "gambiarra"

 

Passo 1: Instalar o Fail2Ban
O Fail2Ban é uma ferramenta que analisa os logs de autenticação e bloqueia IPs que tentam acessar o sistema com credenciais inválidas.

Spoiler

sudo apt update
sudo apt install fail2ban

Passo 2: Configurar o Fail2Ban
Edite o arquivo de configuração do Fail2Ban:

Spoiler

sudo nano /etc/fail2ban/jail.local

Ainda por aqui faça o seguinte agora 

Adicione as seguintes linhas:

[ssh]
enabled = true
port = ssh
filter = sshd
logpath = /var/log/auth.log
maxretry = 3

Passo 3: Instalar e Configurar o UFW
O UFW (Uncomplicated Firewall) é uma ferramenta de firewall para Linux.

Spoiler

sudo apt install ufw

Habilite o UFW:

Spoiler

sudo ufw enable

Agora você irá deixar a permissão aberta 

Permita o tráfego SSH:

Spoiler

sudo ufw allow ssh

Finalizando a parte 3 

 

Passo 4: Configurar o Syslog

O Syslog é um sistema de logging que coleta e armazena logs de eventos do sistema.

Edite o arquivo de configuração do Syslog:

Spoiler

sudo nano /etc/rsyslog.conf

 Continue

Spoiler

Adicione as seguintes linhas:

module(load="imudp")
input(type="imudp" port="514"

Passo 5: Criar um Script de Detecção de Ataques

Crie um script que analise os logs de autenticação e detecte ataques:

Spoiler

sudo nano /root/detect_attack.sh

Spoiler

Adicione as seguintes linhas:
bash
#!/bin/bash

LOG_FILE=/var/log/auth.log
ATTACK_THRESHOLD=5

grep "Failed password" $LOG_FILE | awk '{print $1}' | sort | uniq -c | awk '{if ($1 > '$ATTACK_THRESHOLD') print $0}'

Agora você irá permitir  a execução do scritp 

Spoiler

sudo chmod +x /root/detect_attack.sh

Passo 6: Agendar o Script para Execução Periódica

Agende o script para executar a cada 5 minutos:

Spoiler

sudo crontab -e

Spoiler

Adicione as seguintes linhas:

```
*/5 * * * * /root/detect_attack.sh
```

Agora você tem um sistema de detecção de ataques básico configurado para sua VPS Linux (Ubuntu 20+). O script detectará ataques de força bruta nos logs de autenticação e alertará você se o limiar de ataques for ultrapassado.